DeFi потрапив у найнебезпечнішу у історії пастку ув'язненого

Автор: Гу Ю, ChainCatcher

Після понад 40 годин після крадіжки, ланцюгова реакція, спричинена Kelp DAO, все ще продовжує ферментуватися, і все більше відомих проектів, таких як Aave, LayerZero, Arbitrum, залучаються, навіть до рівня, коли деякі популярні наративи зазнають смертельного суду.

Відомий KOL Фен Вусянь на платформі X заявив, що лише ETH є безпечним, ARB також авторизував замороження та перекази активів клієнтів. Жоден L2 не є справжнім L2, мабуть. L2 виник на Arbitrum, і помер на Arbitrum.

Інший відомий KOL Лань Ху зазначив, що найбільшими втратами у цьому інциденті є не Aave і не Kelp, а LayerZero, але вона була надто короткозорою і не побачила суті події. Суть цієї події не у тому, щоб спростувати L2 (фальшивий L2 — це вже інше), а у тому, щоб спростувати міжланцюгові мости.

Все більше гострих точок зору з’являється у громадськості, учасники події висловлюють свої думки і звинувачують один одного, що робить крадіжку Kelp DAO класичним прикладом для аналізу відповідальності за безпеку, конфлікту прагматизму і технічного фундаменталізму.

I. Л0 спростовано? Міжланцюгові мости — найбільші програвши

Ключовим моментом події став детальний звіт про хакерську атаку, опублікований LayerZero вчора, де попередньо визначено, що нападником є група Lazarus з північнокорейським бекграундом. Атака здійснена шляхом підміни даних у децентралізованій верифікаційній мережі (DVN), яка залежить від нижньої рівневої RPC інфраструктури, шляхом контролю частини RPC вузлів і спільної DDoS-атаки, що змусила систему переключитися на зловмисні вузли, фальсифікуючи міжланцюгові транзакції.

“Використання зламаних вузлів для підміни RPC інфраструктури та поєднання з DDoS-атаками на неуразливі RPC для примусового перемикання — дуже складна техніка. Це по суті інфраструктурна війна,” — оцінив керівник інвестицій і співпраці Animoca Brands Самуель Цзе.

У кінці звіту LayerZero заявив, що протокол працював цілком відповідно до очікувань. Виявлено не було жодних вразливостей. Основна характеристика архітектури LayerZero — модульна безпека, і у цьому випадку вона ідеально виконала свою функцію, ізолювавши весь напад у межах одного застосунку — вся система залишилася без ризику поширення, і інші OFT або OApp не постраждали.

Такий повний відхід від відповідальності став каталізатором великої громадської реакції, багато відомих фахівців висловили незадоволення діями LayerZero у цій ситуації.

“L0 вичистив себе, вся стаття переклала провину на неправильну конфігурацію KelpDAO, а самі не мають жодної проблеми. Це неймовірно. Питання: чому дозволили існування конфігурації 1/1? Чому внутрішній список RPC був доступний зловмиснику? Чому логіка failover при DDoS довіряє забрудненим RPC і не зупиняє валідацію, або хоча б не робить щось інше?” — запитує відомий дослідник галузі CM.

“Такий навмисний ухил у відповідальності мене дуже непокоїть. У заяві чітко написано “протокол працював цілком відповідно до очікувань”. А атака описується як злом RPC вузлів і підміна RPC. Але підміна RPC — це не так, їх інфраструктура була зламаною і пошкодженою. Оскільки у заяві не пояснено, як саме сталася ця злом, я не поспішаю знову запускати міст,” — каже відомий DeFi-розробник Бантег.

Офіційна позиція Kelp DAO також прозвучала, що конфігурація одного валідатора (1/1), яка спричинила цю атаку, не є ігноруванням рекомендацій, а стандартною налаштуванням у керівництві LayerZero, і що вразливий валідаторський мережевий вузол (DVN) — це власна інфраструктура LayerZero.

За даними Dune, серед 2665 контрактів OApp, побудованих на LayerZero, 47% використовують конфігурацію 1/1 DVN, тобто один валідатор, що значно збільшує ризики для галузі.

Ще гірше, ніж сама проблема, — це те, що учасники не визнають помилок і ухиляються від відповідальності. LayerZero, як головний гравець у міжланцюговій комунікації та у нарративі Layer0, сотні криптопроектів використовують її інфраструктуру для мосту між різними ланцюгами, і якщо вона продовжить зневажливо ставитися до ризиків, це ще більше підірве довіру галузі.

Громадськість вважає, що хоча LayerZero і не був безпосередньо зламаний, його репутація зазнала найбільших втрат — він має заплатити ціну за “дозвіл на слабку конфігурацію”, інакше міжланцюговий наратив може зруйнуватися.

Тобто LayerZero потрібно не лише запропонувати чіткі технічні покращення, а й взяти на себе більшу відповідальність у компенсаційних схемах.

II. Layer2 помер? Надзвичайне замороження Arbitrum

Обговорення Layer2 зосереджене на дії Arbitrum щодо замороження. Сьогодні вдень Комітет безпеки Arbitrum опублікував повідомлення, що вжиті екстрені заходи для порятунку 30 766 ETH, збережених у адресі Arbitrum One, що зараз оцінюється у 71 мільйон доларів.

У заяві також зазначено, що після ґрунтовного технічного дослідження та обговорень, комітет безпеки ухвалив і виконав технічне рішення, яке дозволяє безпечно перевести кошти у безпечне місце, не порушуючи стан інших ланцюгів або користувачів Arbitrum. Адреса, що володіла цими коштами, вже не має доступу до них, і лише керівництво Arbitrum може вжити подальших заходів для їх переказу, узгоджуючи дії з усіма сторонами.

За інтерпретацією галузевих експертів, команда Arbitrum застосувала привілейований тип транзакції (частина ArbOS, але майже ніколи не використовуваний), що дозволяє приватним ключам нападника підписувати транзакції, але ETH з цієї адреси фактично переводиться мережею.

Цей особливий тип транзакції обходить приватний ключ нападника, і лише сама мережа (через оновлення sequencer / ArbOS, контрольоване Комітетом безпеки Arbitrum) може інжектувати такі транзакції.

Відомо, що у Комітету безпеки Arbitrum 12 осіб, обраних DAO, і для ухвалення рішень потрібно згода 9 з них.

Це викликало великий резонанс. Раніше вважалося, що Arbitrum, як представник Layer2, не має можливості або прав для управління ETH активами користувачів, адже це суперечить децентралізації блокчейну.

У минулому випадку з хакерськими атаками, зловмисники могли швидко заблокувати USDT, USDC через Tether і Circle, щоб зменшити збитки користувачів. ETH — це нативний актив мережі, і раніше не було прецедентів, щоб його блокували або переводили мережею, що виходить за межі очікувань більшості користувачів.

Багато експертів підтримують дії Arbitrum, кажучи, що “усі компанії, банки і регуляторні фінансові установи зрештою перейдуть на другий рівень. У критичних ситуаціях діяти як централізована структура — це не недолік, а перевага.” Але для технічних гіків це не так.

“Без приватного ключа, без дозволу — просто переказ,” — вважають багато, і ця операція може переосмислити рівень децентралізації Layer2, викликаючи втрату відчуття безпеки.

Лань Ху прямо заявив, що ця подія вже порушила основні ідеологічні межі DeFi: “Not Your keys, not your coins.” Це повертає нас до класичної дилеми у крипто: прагматична безпека проти повної децентралізації.

Заключення

Коли LayerZero каже “протокол працював цілком відповідно до очікувань,” він зберіг технічну правильність, але втратив громадську довіру; коли Arbitrum за допомогою привілейованих транзакцій перевів ETH на 71 мільйон доларів, він врятував активи користувачів, але серйозно підірвав ідею децентралізації Layer2.

Крадіжка Kelp підняла на суд два найгарячіших наративи: чи є міжланцюговий міст інфраструктурою чи ризикозбільшувачем? Чи Layer2 — надійне розширення Ethereum, чи другий банківський рівень у масці децентралізації?

Через те, що LayerZero був зламаний через один вузол, а Arbitrum застосував централізоване спеціальне голосування для відшкодування збитків, утворюється іронічний замкнутий цикл: протокол, що проголошує себе децентралізованим, руйнується через “одну точку вразливості,” і в кінцевому підсумку змушений покладатися на “централізовані привілеї” іншого протоколу.

Це ставить перед галуззю питання, яке ніколи не отримувало прямої відповіді: коли ідеал децентралізації стикається з реальністю безпеки — що ми готові пожертвувати?

Обговорення масштабних наративів — це один із фокусів громадської думки, а питання компенсації користувачів — інше, більш практичне. Навіть якщо Arbitrum і поверне понад 70 мільйонів доларів, у Aave залишається борг майже у 200 мільйонів, і як захистити інтереси користувачів — питання відкриті.

У більшості випадків крадіжки на рівні десятків мільйонів — це катастрофа для протоколу, і відшкодування зазвичай не відбувається. Але у цій ситуації, де задіяні провідні проекти, такі як Aave і LayerZero, питання про обробку боргів привертає особливу увагу.

Aave сьогодні запропонував два варіанти обробки боргів: перший — розподіл збитків між усіма власниками rsETH (загальне навантаження), зниження вартості rsETH на приблизно 15%; другий — щоб втрати несли лише власники rsETH на L2, тоді як основна мережа зберігає початкову цінність.

Проте, Kelp DAO і офіційний LayerZero досі не обговорювали свою роль у компенсаційних схемах. З їхнього звіту видно, що проект вважає, що без відповідальності — немає й обов’язку компенсувати.

Але протокол із десятками мільярдів доларів оцінки, що є базою для сотень проектів, і при цьому обирає “технічне звільнення від відповідальності” за великі збитки через DVN — це сама іронія щодо визначення “інфраструктури”.

Це класичний дилема ув’язненого: усі учасники на межі кризи намагаються мінімізувати свої втрати через “розподіл вигод,” а не через спільне відшкодування, що поглиблює недовіру у галузі.

З урахуванням негативного впливу цієї події на галузь, для DeFi це стане однією з найнебезпечніших дилем у історії.